fw monitor ve flaglar
fw monitorde flagları kullanarak filtrelemeler yapabiliriz. tcpip.def içerisinde flag tanımları ;
#define th_flags [ 33 : 1]
#define TH_FIN 0×1
#define TH_SYN 0×2
#define TH_RST 0×4
#define TH_PUSH 0×8
#define TH_ACK 0×10
#define TH_URG 0×20
şeklindedir. Kullanımı ise
-e “accept th_flags=0×1;” sadece FIN bayrağı olan paketleri görebiliriz.
-e “accept th_flags=0×11;” FIN ve ACK bayraklı paketleri görebiliriz.
-e “accept th_flags & 0×1;” içerisinde FIN geçen bayrakları getirir. bu filrenin th_flags=0×1′den farkı şudur. Bu filtrede sadece fin bayraklı paketler gelirken son filtrede içerisinde fin bayrağı olan paketler gelecektir.
-e “accept th_flags = syn;” syn bayraklı paketleri getirir. bayrak isimleri ise
define syn { th_flags & TH_SYN };
define fin { th_flags & TH_FIN };
define rst { th_flags & TH_RST };
define ack { th_flags & TH_ACK };
define first { th_flags & TH_SYN, not (th_flags & TH_ACK) };
define established { (th_flags & TH_ACK) or ((th_flags & TH_SYN) = 0) };
define not_first { not ( th_flags & TH_SYN ) };
define last { th_flags & TH_FIN, th_flags & TH_ACK };
define tcpdone { fin or rst }; şeklinde tanımlanmıştır.
